产品概述
360高级持续性威胁预警系统(NDR一体机版),是360自主研发的通过流量深度分析结合全球威胁情报、攻击行为分析、机器学习、关联分析等新一代安全技术对各类型网络攻击行为(尤其是新型/未知威胁行为、APT组织活跃行为)进行检测、分析、响应的软硬件一体机产品。
系统部署简单,攻击发现分析能力突出,在现网攻防演练、重保活动、关键信息基础设施保护等强对抗场景中广泛应用,为用户提供传统IDS等威胁管理产品无法实现的更强保障能力。
核心优势
云端赋能、本地联动360云端安全大脑(安全大数据、全球威胁情报、漏洞情报等)的持续赋能,全球最新威胁尽在掌握;本地支持与终端安全、防火墙、态势感知等联防联动,事件发现响应效率有效提升。业界领先的攻击检测体系以ATT&CK技战术和知识图谱体系为基础,结合特征检测、威胁情报、行为分析、AI算法等多引擎检测技术实现对各类攻击行为的覆盖,APT组织活跃行为及未知威胁检测能力国内领先。攻击告警自动确认支持全量攻击告警的自动分析确认,对每条告警结果进行是否成功的分析和标注,同时对每条告警的攻击特征进行自动化高亮展示,不仅有效解决传统设备的海量安全告警问题、降低误报率,还可以提升分析优先级和易用性。多场景化的专项分析对复杂攻击场景通过专题式分析,形成对邮件攻击场景、弱口令攻击、木马异常通信等数十类场景的深度分析输出,并支持时间线、KillChain等可视化分析模型,对相关异常/威胁事件做关联性分析和确认。一体化设备、易于部署集检测、分析、响应、态势监测模块于一体的ALL-IN-ONE设备,简单部署,易于使用。支持单设备部署,多设备+管控中心的多设备分布或集群部署模式。
典型应用
APT/态势感知:检测高级攻击和未知攻击
APT攻击采用免杀或未知木马、0day漏洞攻击等复杂手段,但现有的IDS/IPS/防火墙/WAF等产品无法检测,银行、运营商、电子政务等明确发文要防范APT攻击。360NDR应用全球领先威胁情报,精准检测APT组织、特征检测、沙箱、机器学习、隐蔽信道、场景化检测综合技术,全面检测已知和未知攻击、可以有效检测僵木蠕毒,尤其免杀、未知木马等。
攻防演练/重保监测:发现攻击,溯源过程
攻防演练已成常态化,参与队伍逐年增加,攻防演练活动中,防守方需要及时发现攻击方的攻击行为并进行响应处置,否则会失分。同时在冬奥会、两会等重保期间,在业务、办公内网、第三方接入的位置部署360NDR可以实时监测攻击方惯用的网站攻击、钓鱼邮件、木马控制、Webshell和进入内网后的横向移动攻击,并及时告警进行威胁阻断,有效保障业务的稳定性运行。
勒索/挖矿检测:尽早发现,减少损失
勒索/挖矿方式和技术手段不断升级,勒索软件种类多、更新迭代快,杀软无法检测。部署360NDR可以利用威胁情报、协议特征从流量中识别攻击、通信和横向扩散,应用沙箱、机器学习、勒索诱捕等多种技术识别勒索/挖矿木马,同时还可以联动终端杀软/EDR/FW等进行隔离/查杀,通知运维人员进行处置,及时联动隔离/阻断勒索软件扩散,降低损失。
等保/关保:满足新型网络攻击行为的检测要求
目前在政策的驱动下,国家要求企业、单位需满足等级保护和关键信息基础安全保护条例。其中等级保护中明确:三级/四级系统应采取技术措施实现新型网络攻击行为的分析。360NDR应用威胁情报、行为分析、机器学习、隐蔽信道等新一代检测技术,不仅满足等保新技术要求,还能帮助进行等保基础上更高要求的关保能力建设,合规和能力建设同步实现,一笔投入两笔收益。
客户案例
案例一:某政府主管部门大网APT监测
案例背景:
某政府主管部门需对下级单位的大网流量进行统一的安全威胁分析,发现网络威胁事件,针对APT攻击进行及时预警和威胁处置,同时督促下级单位进行安全整改建设。
核心需求:重点识别国外针对重点单位的高级网络威胁攻击;可以有效的进行威胁预警和阻断、自动化闭环安全威胁处置;
部署应用:
在网络出口部署多台360NDR设备+管控中心,同时360NDR联动防火墙设备,形成自动化响应的处置方案。
用户价值:
360NDR利用威胁情报,检出疑似Turla APT组织(位于俄罗斯的黑客组织)攻击hotspot.accesscam.org、highcolumn.webredirect.org、ethdns.mywire.org、theguardian.webredirect.org等4个域名。利用流量行为规则,检出与“APT活动行为 – APT-C-23双尾蝎通信数据(GET) “匹配流量、通信格式对比一致、威胁情报佐证,精准识别APT组织并自动化的联动防火墙进行威胁阻断,避免受到持续攻击。
案例二:某行银行2020和2021攻防演练
案例背景:
2020年和2021年全国攻防演练,金融行业属于重要基础设施相关行业是攻防演练重点攻防领域,某行高度重视,在原有较为完备的安全防护体系基础上,增加360NDR系统进行监测。
核心需求:
对关键攻击路径上的流量进行检测,发现威胁及时告警;重点防范攻击者通过钓鱼邮件或其它方式投递木马和远程控制软件;
部署应用:
在进出邮件服务器流量、生产区、开发测试网、办公网、互联网业务等区域流量通过核心交换机侧全部接入360NDR系统进行监测。
用户价值:
2020年,共发现攻击IP地址992个,占封禁总IP数30%;联动防火墙封禁IP 45个,无一误报;识别重点事件72起,如准 确识别了红队发送的CobaltStrike木马邮件。2021年,监控并上报攻击源IP地址共计813个;识别重点事件13起,上报领先。有效的帮助攻防演练人员及时发现攻击行为并有效及时处置,避免丢分。